Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Pc lento e righe incancellabili con HijackThis

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Pc lento e righe incancellabili con HijackThis

Postdi aldebaran » 23/09/06 16:00

Ciao, il mio pc è lentissimo in particolar modo nella navigazione in internet. Ho più volte usato HijackThis, Spybot, Ad-aware, SuperAntiSpyware.Ho fatto scansione con AVG e on-line con McAfee. Il tutto seguendo in modo appropiato la modalità normale e quella provvisoria. Elmino i nquesto modo schifezze varie tranne che 2 maledette righe nel log di HijackThis, eccole:

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {5206D833-5634-29E4-2A95-70C23A3FE619} - C:\WINDOWS\hsmju1.dll (file missing)

Le elimino sempre in nodalità provvisoria ma si ripresentano poi di nuovo puntalmente!
Sono loro la casua dei miei problemi, come posso sbarazarmene per sempre? Allego qui sotto il log completo di HijackThis. Ciao

Logfile of HijackThis v1.99.1
Scan saved at 16.37.29, on 23/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Java\jre1.5.0_08\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\HDD Health\hddhealth.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\zorrok\Desktop\MIRANDA\miranda-im-v0.5-unicode\miranda32.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\zorrok\Impostazioni locali\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {5206D833-5634-29E4-2A95-70C23A3FE619} - C:\WINDOWS\hsmju1.dll (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [HDDHealth] C:\Programmi\HDD Health\hddhealth.exe -wl
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar3.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar3.dll/cmtrans.html
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by10fd.bay10.hotmail.msn.com/res ... nPUpld.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.virgilio.it/downloa ... ctiveX.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E64E9DA-1D24-40BE-8C5D-A69CA73FE593}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
aldebaran
Utente Senior
 
Post: 181
Iscritto il: 21/07/05 10:58

Sponsor
 

Postdi andorra24 » 23/09/06 16:27

Ciao, hai il linkoptimizer purtroppo. Scarica questo tool:
http://www.prevx.com/gromozon.asp
eseguilo. Al riavvio del computer, il programma terminerà la scansione delle altre cartelle di windows.
Puoi rispondere NO alla richiesta di installare prevx al termine.
Sarà creato un report in C:\Gromozon_removal.log.
Copia e incolla il report in un post.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi aldebaran » 23/09/06 16:36

Andorra, il link mi dice: impossibile visualizzare la pagina......Magari provo più tardi o domani. Ciao.
aldebaran
Utente Senior
 
Post: 181
Iscritto il: 21/07/05 10:58

Postdi andorra24 » 23/09/06 17:17

aldebaran ha scritto:Andorra, il link mi dice: impossibile visualizzare la pagina......Magari provo più tardi o domani. Ciao.

A me il link funziona benissimo. Riprova:

http://info.prevx.com/download.asp?grab=GROMOZONREMTOOL

Fai anche una scansione con VirIT:
http://www.tgsoft.it/files/vnlt6118.exe
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi aldebaran » 23/09/06 17:44

Andorra, confermo: il link non si apre mentre tutte le altre pagine web sono ok. Da cosa può dipendere? Hai un altro indirizzo?

Tq soft va utilizzito in mod. normale o provvisoria? Ciao
aldebaran
Utente Senior
 
Post: 181
Iscritto il: 21/07/05 10:58

Postdi andorra24 » 23/09/06 18:00

aldebaran ha scritto:Andorra, confermo: il link non si apre mentre tutte le altre pagine web sono ok. Da cosa può dipendere? Hai un altro indirizzo?

Non ho un altro indirizzo. C'e' solo quello. Forse e' il malware che ti impedisce di accedere a quel sito.

aldebaran ha scritto:Tq soft va utilizzito in mod. normale o provvisoria? Ciao

Aggiorna il programma e fai una scansione in modalita' provvisoria.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi aldebaran » 24/09/06 13:30

Andorra, VRIT-LT mi ha scovato "diverse bestioline" tra cui linkoptimizer, davvero grande! E pensare che mi fidavo molto della scansione online di Mcafee...Comunque ora mi ritrovo in InstallazioniApplicazioni: connectionoptimizer. Posso procedere alla disinstallazione da quella posizione? Ho letto che che non bisogna disnistallarlo da li, ma forse si riferiva alla procedura iniziale e non dopo che è stato scovato con l'antivirus.

Pe maggior sicurezza ho fatto una scansione anche con Prevexremovetool (ora il link si apre) e ti riporto sotto il log anche se credo di aver sbagliato qualcosa.

Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
aldebaran
Utente Senior
 
Post: 181
Iscritto il: 21/07/05 10:58

Postdi andorra24 » 24/09/06 13:37

Non toccare niente dal Pannello di controllo. Dopo ti dico cosa fare.

Scarica Gmer :
http://www.suspectfile.com/upload/files/tools/gmer.zip
Dopo averlo scompattato, lo avvii, selezioni "Rootkit"
Clicca su "Scan"
Attendi la fine della scansione e clicca su "Copy"
Apri il block notes di windows, clicca su modifica e seleziona incolla

Poi fai una scansione con GMer dalla posizione ''Autostart'', con le stesse procedure del precedente. Incolla il log generato nel suddetto block notes e poi posta i due log nel forum.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi aldebaran » 24/09/06 13:49

Il tutto sempre in mod. provvisoria o va bene in modo normale?

Un tuo parere su Antivir. Ho scaricato anche questo visto che VTRIT-LT in versione free durta solo 30 gg. Ho letto su un vecchio post di Pc-facile che anche lui (Antivir free) è efficace con linkOptmizer, però nel suo database virus non trovo traccia ne di linkoptimezer ne del termine gromozon. Tu ke ne pensi? In precedenza ho avuto AVG e AVAST ma visti i risultati...
aldebaran
Utente Senior
 
Post: 181
Iscritto il: 21/07/05 10:58

Postdi andorra24 » 24/09/06 13:51

aldebaran ha scritto:Il tutto sempre in mod. provvisoria o va bene in modo normale?

Va bene in modalita' normale.
aldebaran ha scritto:Un tuo parere su Antivir. Ho scaricato anche questo visto che VTRIT-LT in versione free durta solo 30 gg. Ho letto su un vecchio post di Pc-facile che anche lui (Antivir free) è efficace con linkOptmizer, però nel suo database virus non trovo traccia ne di linkoptimezer ne del termine gromozon. Tu ke ne pensi? In precedenza ho avuto AVG e AVAST ma visti i risultati...

Antivir e' un buon antivirus, ma con linkoptimizer non puo' fare granche' purtroppo.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi aldebaran » 24/09/06 14:44

Ecco i 2 Log:

GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-09-24 15:40:17
Windows 5.1.2600 Service Pack 1


---- Devices - GMER 1.0.10 ----

Device \FileSystem\Udfs \UdfsCdRom IRP_MJ_DEVICE_CONTROL [F48D27FA] BsUDF.SYS
Device \FileSystem\Udfs \UdfsDisk IRP_MJ_DEVICE_CONTROL [F48D27FA] BsUDF.SYS
Device \Driver\Tcpip \Device\Ip IRP_MJ_SHUTDOWN [F8AEC85A] avgtdi.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_SHUTDOWN [F8AEC85A] avgtdi.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_SHUTDOWN [F8AEC85A] avgtdi.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_SHUTDOWN [F8AEC85A] avgtdi.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_SHUTDOWN [F8AEC85A] avgtdi.sys
Device \FileSystem\Cdfs \Cdfs IRP_MJ_DEVICE_CONTROL [F48D27FA] BsUDF.SYS

---- Files - GMER 1.0.10 ----

File C:\System Volume Information\tracking.log
File C:\System Volume Information\_restore{E32BA7ED-9E55-4630-85AD-B99808BF0009}
File D:\System Volume Information\tracking.log
File D:\System Volume Information\_restore{E32BA7ED-9E55-4630-85AD-B99808BF0009}

---- EOF - GMER 1.0.10 ----




GMER 1.0.10.10122 - http://www.gmer.net
Autostart 2006-09-24 15:42:15
Windows 5.1.2600 Service Pack 1


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SASWinLogon@DLLName = C:\Programmi\SUPERAntiSpyware\SASWINLO.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
AntiVirScheduler /*AntiVir PersonalEdition Classic Scheduler*/@ = C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
AntiVirService /*AntiVir PersonalEdition Classic Guard*/@ = C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
DVD-RAM_Service /*DVD-RAM_Service*/@ = C:\WINDOWS\System32\DVDRAMSV.exe
EPSONStatusAgent2 /*EPSON Printer Status Agent2*/@ = C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
SimpTcp /*Servizi semplici TCP/IP*/@ = %SystemRoot%\System32\tcpsvcs.exe
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@TkBellExe"C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot = "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
@SunJavaUpdateSched"C:\Programmi\Java\jre1.5.0_08\bin\jusched.exe" = "C:\Programmi\Java\jre1.5.0_08\bin\jusched.exe"
@avgnt"C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min = "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@HDDHealthC:\Programmi\HDD Health\hddhealth.exe -wl /*file not found*/ = C:\Programmi\HDD Health\hddhealth.exe -wl /*file not found*/
@Skype"C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized = "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad >>>
@WebCheck(null) =
@UPnPMonitorC:\WINDOWS\System32\upnpui.dll = C:\WINDOWS\System32\upnpui.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks@{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} = C:\Programmi\SUPERAntiSpyware\SASSEH.DLL

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{87D62D94-71B3-4b9a-9489-5FE6850DC73E} /*Avi Properties Handler*/(null) =
@{E6FB5E20-DE35-11CF-9C87-00AA005127ED} /*WebCheck*/(null) =
@{E0D79304-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79305-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79306-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79307-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} /*Shell Extensions for RealOne Player*/C:\Programmi\Real\RealPlayer\rpshell.dll = C:\Programmi\Real\RealPlayer\rpshell.dll
@{A2ACA003-7BE3-464F-9E7C-F5B981ACC31B} /*AxCrypt Privacy Wrapper File*/C:\Programmi\Axon Data\AxCrypt\AxCrypt.dll = C:\Programmi\Axon Data\AxCrypt\AxCrypt.dll
@{e57ce731-33e8-4c51-8354-bb4de9d215d1} /*Periferiche Plug and Play universali*/C:\WINDOWS\System32\upnpui.dll = C:\WINDOWS\System32\upnpui.dll
@{5464D816-CF16-4784-B9F3-75C0DB52B499} /*Yahoo! Mail*/C:\PROGRA~1\Yahoo!\Common\ymmapi.dll = C:\PROGRA~1\Yahoo!\Common\ymmapi.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{73B24247-042E-4EF5-ADC2-42F62E6FD654} /*ICQ Lite Shell Extension*/C:\Programmi\ICQLite\ICQLiteShell.dll = C:\Programmi\ICQLite\ICQLiteShell.dll
@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} /*AVG7 Shell Extension*/C:\Programmi\Grisoft\AVG Free\avgse.dll = C:\Programmi\Grisoft\AVG Free\avgse.dll
@{9F97547E-460A-42C5-AE0C-81C61FFAEBC3} /*AVG7 Find Extension*/C:\Programmi\Grisoft\AVG Free\avgse.dll = C:\Programmi\Grisoft\AVG Free\avgse.dll
@{0006F045-0000-0000-C000-000000000046} /*Microsoft Outlook Custom Icon Handler*/C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL = C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL
@{45AC2688-0253-4ED8-97DE-B5370FA7D48A} /*Shell Extension for Malware scanning*/C:\Programmi\AntiVir PersonalEdition Classic\shlext.dll = C:\Programmi\AntiVir PersonalEdition Classic\shlext.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved@{BDEADF00-C265-11d0-BCED-00A0C90AB50F} /*Cartelle Web*/ = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
AVG7 Shell Extension@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = C:\Programmi\Grisoft\AVG Free\avgse.dll
axcrypt.File@{A2ACA003-7BE3-464F-9E7C-F5B981ACC31B} = C:\Programmi\Axon Data\AxCrypt\AxCrypt.dll
ICQLiteMenu@{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programmi\ICQLite\ICQLiteShell.dll
Shell Extension for Malware scanning@{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programmi\AntiVir PersonalEdition Classic\shlext.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
Yahoo! Mail@{5464D816-CF16-4784-B9F3-75C0DB52B499} = C:\PROGRA~1\Yahoo!\Common\ymmapi.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
ICQLiteMenu@{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programmi\ICQLite\ICQLiteShell.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
AVG7 Shell Extension@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = C:\Programmi\Grisoft\AVG Free\avgse.dll
axcrypt.File@{A2ACA003-7BE3-464F-9E7C-F5B981ACC31B} = C:\Programmi\Axon Data\AxCrypt\AxCrypt.dll
Shell Extension for Malware scanning@{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programmi\AntiVir PersonalEdition Classic\shlext.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects@{5206D833-5634-29E4-2A95-70C23A3FE619} = C:\WINDOWS\hsmju1.dll /*file not found*/

HKCU\Control Panel\Desktop@SCRNSAVE.EXE = C:\WINDOWS\System32\logon.scr

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.libero.it/ = http://www.libero.it/
@Local PageC:\WINDOWS\System32\blank.htm = C:\WINDOWS\System32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\System32\msvidctl.dll
its@CLSID = C:\WINDOWS\System32\itss.dll
mhtml@CLSID = %SystemRoot%\System32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\System32\itss.dll
msnim@CLSID = "C:\PROGRA~1\MSNMES~1\msgrapp.dll"
tv@CLSID = C:\WINDOWS\System32\msvidctl.dll
vnd.ms.radio@CLSID = C:\WINDOWS\System32\msdxm.ocx

HKLM\Software\Classes\PROTOCOLS\Handler\wia@CLSID = C:\WINDOWS\System32\wiascr.dll

C:\Documents and Settings\zorrok\Menu Avvio\Programmi\Esecuzione automatica = EPSON Status Monitor 3 Environment Check(2).lnk

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica >>>
Microsoft Office.lnk = Microsoft Office.lnk
Porta Symantec Fax Starter Edition.lnk = Porta Symantec Fax Starter Edition.lnk

---- EOF - GMER 1.0.10 ----
aldebaran
Utente Senior
 
Post: 181
Iscritto il: 21/07/05 10:58

Postdi andorra24 » 24/09/06 14:55

scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLL

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5206D833-5634-29E4-2A95-70C23A3FE619}

Files to delete:
C:\WINDOWS\hsmju1.dll


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Una volta riavviato il pc, collegati e posta il contenuto del file C:\Avenger.txt


Poi devi fare le seguenti operazioni:
andorra24 ha scritto:
1) Vai nel Pannello di controllo e vedi se ci sono le voci LinkOptimizer e/o ConnectionServices ma se li vede non toccare nulla.
Nel caso vedessi una di queste voci (oppure entrambe) scarica MyUninstaller da qui:
http://www.nirsoft.net/utils/myuninst.html
con questo programmino potrai disinstallare LinkOptimizer e/o ConnectionServices se sono presenti nel tuo computer.
Apri il programmino (click su myuninst.exe, attendi che vengono elencate le applicazioni presenti, evidenzi Linkoptimizer (e/o ConnectionServices), click con il dx e scegli Delete selected entries.

2) Start>esegui>control userpasswords2 (lo scrivi nello spazio bianco)>OK

Nella finestra Account utente, guarda se hai un'utenza sospetta con nome casuale (oltre le consuete Administrator, Utente, Aspnet), tipo XYZFG. Segnati il nome dell'utenza ed eliminala (click con il destro e scegli elimina);

3) Rendi visibili file e cartelle nascosti:

Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema (consigliato)''.

Vai in C:\Documents and Settings, guarda se hai una cartella con lo stesso nome dell'utenza, elimina anch'essa.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi Luke57 » 24/09/06 14:58

Ciao, apri il registro di sistema:
start>esegui>regedt32 (lo copi nello spazio)>OK
aperto l'editor clicchi sui + accanto alle singole voci del seguente percorso:
HKEY_LOCAL-_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects,
fra le sottovoci, individui:
5206D833-5634-29E4-2A95-70C23A3FE619
click su di essa tasto dx>Autorizzazioni, all'interno della finestra scegli Avanzate, sulla nuova finestra click sul tab Proprietario e imposti il proprietario sul nome utente>OK.
Torni alla pagina precedente, consenti il controllo completo e in lettura inserendo le spunte>OK.
A questo punto, click con il dx sulla voce e scegli Elimina.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Luke57 » 24/09/06 15:00

Ciao Andorra24, non mi ero accorto della risposta, vanno bene tutti e due metodi, comunque il file non è presente (not found), semmai per sicurezza.....
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi aldebaran » 24/09/06 16:50

Per Andorra e per Luke.
Andorra, scelgo il procedimento di Luke solo per la sua maggior brevità.

Però nel tab propreitario mi appaiono due nomi:
-ZORRO\Admistrator
-ZORRO\Zorro

Due anni fa l'installazione di Win. XP mi è stata fatta da una mio amico e credo (spero di non dire scemenze) che nome utente e amministratore coincidano. Comunque volevo sapere quale voce impostare, amministatore o nome utente?

Luke, non vorrei creare diatribe tra voi ;-) ma proprio in tuo post del 11/08/05 leggo che sia Antivir che Nod 32 sono efficaci contro LinkOptimizer. In una risposta precedente Andorra mi ha detto di no. Come è la questione? Ragazzi è solo una curiosità... ;-)
aldebaran
Utente Senior
 
Post: 181
Iscritto il: 21/07/05 10:58

Postdi andorra24 » 24/09/06 16:57

aldebaran ha scritto:Ho letto su un vecchio post di Pc-facile che anche lui (Antivir free) è efficace con linkOptmizer, però nel suo database virus non trovo traccia ne di linkoptimezer ne del termine gromozon. Tu ke ne pensi?

Ribadisco che se becchi il linkoptimizer non lo potrai eliminare con Antivir. Ma scusa, se i normali antivirus fossero in grado di debellare il linkoptimizer in tutte le componenti che inserisce nel pc pensi che staremmo a dilungarci ogni giorno con il log di gmer, con lo script di avenger e con il tool di rimozione della prevx? Personalmente sarei felicissima se bastasse una semplice scansione antivirus per risolvere il problema del LO. ;)
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi aldebaran » 24/09/06 17:01

Andorra, non metto assolutamente in dubbio la tua parola, credimi. Ma è appunto per ciò che volevo sentire il parere di Luke e della sua affermazione. Aspetto sempre una risposta riguardo al nome utente da selezionare. Ciao ;)
aldebaran
Utente Senior
 
Post: 181
Iscritto il: 21/07/05 10:58

Postdi Luke57 » 24/09/06 17:09

aldebaran ha scritto:Andorra, non metto assolutamente in dubbio la tua parola, credimi. Ma è appunto per ciò che volevo sentire il parere di Luke e della sua affermazione. Aspetto sempre una risposta riguardo al nome utente da selezionare. Ciao ;)

Ciao, diversi antivirus lo riconoscono ormai, fra cui antivir, però non lo rimuovono, essendo un malware molto complesso.
Quell'affermazione che ho fatto l'avevo letta sicuramente da qualche parte, sicuramente era sbagliata.
Scegli il nome utente ZorroZorro.
Se la manovra non riesce utilizza avenger come suggerito da Andorra24.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi aldebaran » 24/09/06 17:25

Luke, la connessione è ancora li. Seguo il procedimento di Andorra (sperando che non me ne voglia...) :oops:
Nel frattempo posto il log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pubrpxon

*******************

Script file located at: \??\C:\qcavugpf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\hsmju1.dll not found!
Deletion of file C:\WINDOWS\hsmju1.dll failed!

Could not process line:
C:\WINDOWS\hsmju1.dll
Status: 0xc0000034



Could not get size of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLL
Replacement with dummy of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLL failed!
Status: 0xc0000034



Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5206D833-5634-29E4-2A95-70C23A3FE619} not found!
Deletion of registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5206D833-5634-29E4-2A95-70C23A3FE619} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
aldebaran
Utente Senior
 
Post: 181
Iscritto il: 21/07/05 10:58

Postdi aldebaran » 24/09/06 17:54

Andorra, tutto ok! Ho eliminato CWtpSyubVWJtzl Administrator. Il log che ti ho inviato è tutto ok?

Ti chiedo solo un ultimo chiarimento su VRIT-LT.
Quando l'ho installato c'erano delle icone (credo 2) in basso a dx vicino all'orologio (scusami per il linguaggio da capra). Ora dopo tutte queste manovre non le vedo più, ho anche il dubbio che VRIT-LT non sia attivo. Azzardo un ipototesi per riattivare il tutto; VTRI-LT/opzioni; spunto Network poi levo la spunta a Virl T Lite Monitor e riavvio?

Per quanto rigurada l'opzione: disabilita l'esecuzione di marco virus analyser, la lascio con la spunta?
aldebaran
Utente Senior
 
Post: 181
Iscritto il: 21/07/05 10:58

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Pc lento e righe incancellabili con HijackThis":

Analisi log HijackThis
Autore: Sanko
Forum: Sicurezza e Privacy
Risposte: 2

Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti